管理员指南:使用 Azure 信息保护跟踪和撤销文档访问权限

  • 项目

注意

你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?

适用于 Office 的 Azure 信息保护加载项现在处于维护模式,建议使用内置于 Office 365 应用和服务中的标签。 详细了解其他 Azure 信息保护组件的支持状态

文档跟踪为具有 Azure 信息保护管理员Azure Rights Management 全局管理员角色的管理员提供信息,让管理员了解受保护的文档何时被访问过。 如有必要,管理员和用户都可以撤销对被跟踪文档的文档访问权限。

版本 2.9.111.0 或更高版本后,尚未进行跟踪注册的所有受保护 Office 文档在下次通过 AIP 统一标签客户端打开时都会自动注册。 支持跟踪和撤销受保护的文档,即使未对其进行标记。

通过注册文档进行跟踪,管理员可以跟踪访问详细信息(包括成功的访问事件和被拒绝的尝试),还可以在需要时撤销访问权限。

注意

仅 Office 文件类型支持跟踪和撤销功能。

支持跟踪和撤销受保护的文档,即使未对其进行标记。

跟踪文档访问权限

管理员可以通过 PowerShell 使用在注册过程中为受保护文档生成的 ContentID 来跟踪受保护文档的访问权限。

查看文档访问权限的详细信息

使用以下 cmdlet 查找要跟踪的文档的详细信息:

  1. 查找要跟踪的文档的 ContentID 值。

    通过 Get-AipServiceDocumentLog 使用文件名和/或应用保护的用户的电子邮箱地址搜索文档。

    例如,

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"

    此命令返回所有匹配的受保护文档(已经注册以进行跟踪)的 ContentID。

    注意

    在已安装统一标签客户端的计算机上首次打开受保护的文档时,这些文档将注册以进行跟踪。 如果此命令未返回受保护文件的 ContentID,请在已安装统一标签客户端的计算机上打开该文件以注册它,从而对其进行跟踪。

  2. Get-AipServiceTrackingLog cmdlet 与文档的 ContentID 结合使用,可返回跟踪数据。

    例如:

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87

    返回的跟踪数据中包括尝试访问的用户的电子邮件、是授予访问权限还是拒绝访问、尝试访问的时间和日期以及发起访问尝试的域和位置。

从 PowerShell 撤销文档访问权限

管理员可以使用 Set-AIPServiceDocumentRevoked cmdlet 撤销对本地内容共享中存储的任何受保护文档的访问权限。

  1. 若要撤销对某个文档的访问权限,请找到该文档的 ContentID 值。

    通过 Get-AipServiceDocumentLog 使用文件名和/或应用保护的用户的电子邮箱地址搜索文档。

    例如:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"

    返回的数据包含文档的 ContentID 值。

    提示

    只有已受保护且已注册跟踪的文档具有 ContentID 值。

    如果文档没有 ContentID,请在已安装统一标签客户端的计算机上打开该文档以注册它,从而对其进行跟踪。

  2. Set-AIPServiceDocumentRevoked 与文档的 ContentID 结合使用,可撤销访问权限。

    例如:

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

注意

如果允许脱机访问,用户可以继续访问已撤销其访问权限的文档,直到脱机策略过期为止。

提示

如果用户直接在 Office 应用中的“敏感度”菜单中对文档应用了保护,也可以撤销对文档的访问权限。 若要了解详细信息,请参阅用户指南:使用 Azure 信息保护撤销对文档的访问权限

取消撤销访问权限

如果你意外地撤销了对特定文档的访问权限,请使用同一 ContentID 通过 Clear-AipServiceDocumentRevoked cmdlet 来取消对访问权限的撤销操作。

若要使用 Clear-AipServiceDocumentRevoked cmdlet,必须先加载 AipService.dll。

例如:

Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

你在 IssuerName 参数中定义的用户将被授予文档访问权限。

为租户关闭跟踪和撤销功能

如果需要为租户关闭跟踪和撤销功能(例如为了满足组织或区域中的隐私要求),请执行以下两个步骤:

  1. 运行 Disable-AipServiceDocumentTrackingFeature cmdlet。

  2. EnableTrackAndRevoke 高级客户端设置设置为“False”。

文档跟踪和用于撤销访问权限的选项已为租户关闭:

  • 使用 AIP 统一标签客户端打开受保护的文档将不再注册文档跟踪以进行跟踪和撤销。
  • 打开已注册的受保护文档时,不会存储访问日志。 在关闭这些功能之前存储的访问日志依然可用。
  • 管理员将无法通过 PowerShell 跟踪或撤销访问权限,最终用户也不会再在 Office 应用中看到撤销菜单选项。

提示

若要重新启用跟踪和撤销,请将 EnableTrackAndRevoke 设置为“True”,并运行 Enable-AipServiceDocumentTrackingFeature cmdlet。

关闭最终用户的撤销访问权限的功能

如果你不希望最终用户能够从其 Office 应用中撤销对受保护文档的访问权限,可以从 Office 应用中删除“撤销访问权限”选项。

注意

删除“撤销访问权限”选项后会继续在后台跟踪受保护的文档,并保留管理员通过 PowerShell 撤销对文档的访问权限的能力。

若要从 Office 应用中删除“撤销访问权限”选项,请将 EnableRevokeGuiSupport 高级客户端设置设置为“False”。

若要了解详细信息,请参阅用户指南:使用 Azure 信息保护撤销文档访问权限

后续步骤

有关详细信息,请参阅: